Proton

Proton Pass è un gestore di password crittografato end-to-end basato sulla stessa crittografia collaudata che protegge il resto dell’ecosistema Proton. Proton Pass è unico nel suo genere perché è stato progettato fin dall’inizio con un forte focus sulla privacy e sulla sicurezza. Pertanto, dispone di un modello di crittografia più completo rispetto alla maggior parte degli altri gestori di password.

Scopri di più sul lancio della beta di Proton Pass

Proton Pass non crittografa solo il campo della password, ma applica la crittografia end-to-end a tutti i campi, inclusi nomi utente, indirizzi web e tutti i dati contenuti nella sezione delle note crittografate.

Questo significa che Proton Pass impedisce a chiunque, inclusa la stessa Proton, di sapere a quali servizi online sei iscritto o con quali hai un account. Queste informazioni, proprio come le tue email o la tua cronologia di navigazione, possono rivelare molto su di te e devono essere protette se desideri mantenere la tua privacy.

Il design di Proton Pass utilizza la crittografia end-to-end, garantendo che tutte le operazioni crittografiche, inclusa la generazione delle chiavi e la crittografia dei dati, vengano eseguite localmente sul tuo dispositivo. Questo significa che i tuoi dati non crittografati non possono essere accessibili da Proton né condivisi con terze parti. I server di Proton non hanno mai accesso alle tue chiavi o ai tuoi dati non crittografati, inclusa la password del tuo Account Proton.

Modello dei dati

Proton Pass ti consente di memorizzare in modo sicuro vari tipi di informazioni, tra cui:

  • Credenziali: Puoi memorizzare le credenziali di accesso a siti web o app, che possono includere un nome utente o un’email, una password e un codice di autenticazione a due fattori (TOTP).
  • Note: Puoi memorizzare in modo sicuro qualsiasi informazione che non si adatta a un campo credenziali in questo campo di testo libero, inclusi numeri di licenza, codici o semplici appunti.
  • Alias: Puoi anche creare alias email con Proton Pass. Questa funzionalità ti consente di creare indirizzi email generati casualmente che puoi utilizzare al posto del tuo vero indirizzo email per gli account online. Ciò rende facile chiudere un alias collegato a un servizio che è stato violato o inizia a inviarti spam senza influenzare gli altri tuoi account.

Proton Pass memorizza tutti questi elementi all’interno di una cassaforte sicura. Le casseforti offrono un modo comodo per organizzare e (in futuro) condividere in modo sicuro i tuoi dati.

Modello di crittografia

Proton Pass adotta un approccio completo per garantire la massima sicurezza e privacy per tutti i dati degli utenti. Tutte le operazioni crittografiche avvengono localmente sul tuo dispositivo e qualsiasi dato trasmesso al server è sempre crittografato. Proton non ha mai accesso alle chiavi in chiaro necessarie per decrittografare i dati degli utenti, rendendo impossibile per Proton decrittografare i dati memorizzati, anche se richiesto da terze parti.

Proton Pass beneficia anche della stessa crittografia avanzata che utilizziamo per l’autenticazione in Proton Mail. Questo include l’uso di una versione rinforzata del protocollo Secure Remote Password (SRP) che offre garanzie di sicurezza più solide contro gli attacchi man-in-the-middle (MITM). La nostra implementazione significa che anche un attaccante che può leggere, modificare, ritardare, distruggere, ripetere o fabbricare messaggi tra Proton e un utente in modo indetectable è limitato a verificare solo un singolo tentativo di accesso per tentativo di login, che equivale a provare direttamente ad accedere. In questo modo, anche se Proton viene compromessa e agisce in modo malevolo, le informazioni equivalenti alla password non vengono mai rivelate.

Scopri di più sulla crittografia di autenticazione di Proton

Cifratura del vault

Ogni utente di Proton Pass ha una chiave utente asimmetrica. Proton Pass cifra questa chiave utente come segue:

  • Account che utilizzano una singola password dell’account: Proton Pass cifra la chiave utente con un hash bcrypt della password dell’account e del sale dell’account.
  • Account che utilizzano la nostra funzionalità di password multiple dell’account: Proton Pass cifra la chiave utente con un hash bcrypt della password della chiave e del sale dell’account.

La chiave utente è utilizzata per aprire tutte le condivisioni a cui hai accesso, quindi deve essere protetta. L’implementazione di hashing della password bcrypt utilizzata da Proton Pass è più robusta e sicura di PBKDF2, che ha portato a violazioni in altri gestori di password.

Quando crei un vault, Proton Pass genera una chiave casuale del vault di 32 byte. Questa chiave viene cifrata e firmata con la tua chiave utente, assicurando che solo tu possa decifrare la chiave del vault e che nessuno (nemmeno Proton) possa leggere o creare nuove chiavi del vault. Se diversi utenti hanno accesso allo stesso vault, Proton Pass cifra la chiave del vault con la chiave pubblica utente di ciascun utente. Questo rende facile condividere in modo sicuro l’accesso ai vault.

Una volta che hai accesso alla chiave del vault, tutti gli elementi in Proton Pass sono cifrati utilizzando AES-GCM a 256 bit.

Cifratura degli elementi

Ogni vault può contenere più elementi, come accessi, note e alias. Quando crei un nuovo elemento, Proton Pass genera una chiave casuale dell’elemento di 32 byte. Proton Pass cifra quell’elemento utilizzando la chiave dell’elemento appena generata, che a sua volta viene poi cifrata con la tua chiave del vault. Sia la chiave dell’elemento che i dati dell’elemento sono cifrati utilizzando AES-GCM a 256 bit.

Ogni volta che aggiorni un elemento, Proton Pass cifra i nuovi dati utilizzando la chiave dell’elemento precedentemente generata. Utilizzando chiavi dell’elemento individuali per ciascun elemento, Proton Pass ti permette di condividere elementi specifici con altri utenti senza condividere la chiave del vault, consentendo un controllo degli accessi più dettagliato.

Questo approccio consente a Proton Pass di rispettare il principio di sicurezza del minimo privilegio fornendo il numero minimo di chiavi crittografiche necessarie per accedere solo ai dati condivisi.

Condivisione

L’ecosistema Proton dispone già di modelli di cifratura per la condivisione sicura open-source, pubblicamente auditati e collaudati per Proton Drive e Proton Calendar, e abbiamo sfruttato questa esperienza per progettare Proton Pass. Il modello di cifratura di Proton Pass ti permette di condividere i tuoi vault con altri, e prevediamo di aggiungere funzionalità di condivisione più sofisticate man mano che Proton Pass si evolve. Attualmente, devi essere un amministratore del vault per condividere le tue chiavi del vault.

Condividere informazioni cifrate richiede la condivisione e la distribuzione di chiavi pubbliche, il che crea il potenziale per attacchi man-in-the-middle (MITM), in particolare la distribuzione di chiavi pubbliche false. Oltre alle chiavi utente, ogni utente Proton ha una o più chiavi di indirizzo per ciascun indirizzo email associato al loro account. Questa chiave di indirizzo è una chiave pubblica collegata a un’identità verificabile e pubblicata nel sistema Key Transparency di Proton, assicurando che non possano essere modificate in modo malevolo da un attaccante. Condivideremo più informazioni sul sistema Key Transparency di Proton in futuro.

Se sei l’amministratore del vault, puoi condividere la tua chiave del vault e Proton Pass la cifrerà con la chiave di indirizzo del destinatario, assicurando che solo loro possano accedervi.

Dopo che il destinatario previsto riceve la tua chiave del vault cifrata, ne convaliderà la firma utilizzando la tua chiave di indirizzo. Questo passaggio verifica che l’invito provenga legittimamente da te. Una volta convalidata la firma, Proton Pass cripterà la chiave della cassaforte utilizzando la chiave utente del tuo destinatario e la conserverà in modo sicuro.

Conclusione

Come tutti i servizi Proton, Proton Pass sarà open source al momento del lancio. Chiunque potrà consultare il codice sorgente per verificare il nostro modello di sicurezza. Come per gli altri nostri servizi, anche Proton Pass sarà sottoposto a regolari audit di sicurezza indipendenti e i rapporti di questi audit saranno condivisi pubblicamente non appena disponibili.

Infine, per i ricercatori di sicurezza interessati, Proton Pass è eleggibile per il programma Bug Bounty di Proton che offre premi fino a $10,000 per la scoperta di bug nel software Proton.

Questo lavoro è stato condotto da Adrià Casajús, Son Nguyen Kim, Carlos Quintana, Daniel Huigens e Lara Bruseghini dei team di identità e crittografia di Proton.

Articoli correlati

The cover image for a Proton Pass blog comparing SAML and OAuth as protocols for business protection
en
SAML and OAuth help your workers access your network securely, but what's the difference? Here's what you need to know.
Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.